HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report on the SAN Network Security 2000 conference, between 15 and 22 October 2000 in Monterey, California.  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
31 October 2000 - Report writing
13 November 2000 - Sending to the news monitoring service subscribers
15 December 2000 - Publication in Netcost & Security Hebdo number 50
18 December 2000 - Publication on HSC's web site  
> Author Stéphane Aubert, Jean-Jacques Bernard, Hervé Schauer (Herve.Schauer@hsc.fr), Gilles Guiot  
> Type  
> Abstract &
Table of content
 
> Related documents
> Copyright © 2000, Hervé Schauer Consultants, all rights reserved.

 

Cette édition de la conférence SANS : System Administration, Networking & Security (http://www.sans.org/) qui s'est déroulée du 15 au 22 octobre 2000 à Monterey en Californie, s'est révélée encore une fois comme un véritable vivier d'idées nouvelles et d'informations de haut niveau sur la sécurité. À noter la faible participation française avec 5 présents seulement, dépassée par les contingents belges et luxembourgeois.

Les cours et les conférences couvraient comme à l'accoutumée une large gamme de sujets, de la sécurité Unix et Windows (NT, 2000) à la détection d'intrusion et les attaques (piratage, dénis de service répartis), en passant par la sécurité des principaux logiciels réseaux : Sendmail, Postfix, Bind, et les routeurs Cisco.

Comme d'habitude, des BoFs (Birds of a Feather Sessions) ont été organisées chaque soir. Tout un chacun est autorisé à proposer une BoF, une salle lui est alors allouée et dés l'arrivée des personnes intéressées, les discussions passionnées peuvent commencer. Cette année encore les BoFs ont été très enrichissantes, avec de nombreuses personnes compétentes discutant passionnément de sujets très pointus, tels que les dénis de service répartis (Distributed Denial of Services), le logiciel de détection d'intrusion Snort ou le logiciel de tests de vulnérabilités Nessus.

L'importance des logiciels libres en sécurité est de plus en plus visible. Lors de la BoF Snort, des australiens ont ainsi présenté comment il assuraient leur détection d'intrusion en combinant Snort et Shadow : Snort peut utiliser la base de règles de Shadow en plus de la sienne. Ainsi Snort devient le logiciel d'écoute (sensor) de Shadow, et Shadow continue à faire les analyses a posteriori.

Le cours du soir sur Snort donné par son auteur Martin Roesh a fait salle comble, ainsi que la BoF sur Nessus organisée par son auteur Renaud Deraison. Il était d'ailleurs intéressant de constater que la grande majorité des personnes influentes en sécurité disposaient d'un ordinateur portable fonctionnant sous un Unix libre, principalement avec OpenBSD ou Linux.

Cependant, à l'instar de Usenix, SANS s'est largement ouvert au monde Windows, avec des sessions de 5 jours entièrement dédiées à la sécurité Windows NT et Windows 2000. Beaucoup de ces cours ont bénéficié d'une nombreuse assistance, car abordables pour le néophyte en sécurité. L'ouverture de SANS vers les personnes nouvelles dans le monde de la sécurité s'est aussi ressentie dans l'aspect volontairement spectaculaire de certains cours tels que "hacking exposed live". Les discussions avec les conférenciers permettent d'envisager un découpage des cours selon différents niveaux : pour experts, de niveau intermédiaire et pour débutants. Cette évolution permettrait de remédier à l'hétérogénéité croissante de l'assistance en termes de connaissances.

Les sujets techniques abordés concernaient souvent le piratage informatique, avec des explications de plus en plus précises sur les techniques utilisées et sur les outils mis en place. Lors de la BoF sur les dénis de service répartis (DDoS), il a été vu que les outils mis en place sur des serveurs piratés et sont de plus en plus difficiles à détecter. Ces piratages préoccupent de plus en plus d'administrateurs. Il a été constaté que les programmes fonctionnant sur des machines piratées au départ en vue de faire de DDoS, sont de plus en plus utilisés pour effectuer des tâches distribuées, comme le cassage de mot de passe ou pour jouer le rôle de serveurs d'applications, et moins pour des DDoS. Les piratent envoient à ces machines piratées des programmes à exécuter. D'après les témoiniages lors de la BoF, certains pirates semblent contrôler plus de 3000 machines.

Les différentes expériences des participants ont relevé les nouveautés suivantes :

  • Parmis les outils rencontrés le plus souvent FuckThemAll arrive désormais en seconde position et Mixter vient en 3ieme position
  • Il devient difficile de remonter de relais en relais car les outils de DDoS chiffrent de plus en plus leur communications entre eux
  • Les adresses IP ne sont plus en ascii mais en binaire prètent à être mises dans un paquet IP, et sont donc plus difficiles à repérées.
  • Des canaux IRCs privés sont utilisés pour envoyer des commandes des machines maitres aux esclaves. Le traffic va donc vers un canal IRC, ce qui est difficile à détecter.

    Pour ouvrir la conférence, le comité de programme de SANS a fait intervenir le département américain de la justice. Les représentants du DoJ ont de nouveau rappelé que le piratage reste illégal, et que le comportement actuel vis-à-vis des pirates : les encenser, les embaucher en tant que consultants en sécurité, était dangereux pour l'éducation des plus jeunes, qui par ailleurs, n'assimilent que trop rarement l'attaque d'une machine aux conséquences sur son propriétaire. Parallèlement, le DoJ a fait état de la réorganisation toute récente du FBI et de différents services américains, qui participe d'une volonté de voir tout incident de sécurité communiqué aux services de traques. Le numéro de téléphone à contacter était d'ailleurs annoncé lors de la présentation. Cette intervention du DoJ a par ailleurs relancé une polémique passionnée concernant la publication intégrale (full-disclosure) : faut il ou non continuer à publier les méthodes d'exploitation des failles de sécurité ?

    Le CIS (Center for Internet Security) a obtenu un succès certain auprès des participants à SANS. Cette organisation américaine à but non lucratif a pour ambition de définir une méthode permettant de qualifier la sécurité d'une entreprise ou d'une entité. Cette méthode devrait servir à mesurer la sécurité de prestataires ou de partenaires pour s'assurer par exemple que lorsqu'un partenaire est relié à un réseau d'entreprise via un VPN alors il correspond à un certain niveau de sécurité et possède telle ou telle note selon les critères du CIS. Les travaux s'inspirent au départ du travail réalisé par VISA pour vérifier la sécurité des 21 000 organisation qui bénéficient du logo de VISA. Une première version de la méthode est prévue pour mi-2001, et des logiciels automatiques de vérification de la conformité seront aussi développés.

    Plusieurs organismes et entreprises américaines font déjà partie du CIS comme : ATT, Axent, le CERT du DoD, l'ISACA, ISS, Merrill Lynch, la NASA, le Naval Surface Warfare Center, Stanford University, SANS, Stanford University, Virginia Tech University, et bien sûr Visa. Les organisations qui souhaitent participer sont invitées à envoyer un message à . La participation est payantei : $20000 pour les consultants jusqu'au 31 Décembre 2000, $25000 après.

    Une présentation qui a comme à l'accoutumée a remporté un franc succès est celle de Alan Paller (organisateur de SANS), qui a présenté les recettes permettant de réussir une présentation technique dans ses moindres détails.

    Enfin, pour la première fois dans l'histoire de SANS, le concours d'intrusion IDnet, a été remporté par un non-américain : Stéphane Aubert du cabinet Hervé Schauer Consultants. Voir le communiqué de presse d'HSC . Stéphane Aubert a obtenu un shell interactif sur le serveur WWW Microsoft IIS 5 sous WNT, sans être détecté par les logiciels de détection d'intrusion. Dans le même temps personne n'a pu intruser les serveurs WWW sous Unix.

  • Last modified on 22 October 2002 at 16:32:12 CET - webmaster@hsc.fr
    Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants